[原创]在win7 x64下做个简单的内核绘制

2018-11-8 10:09 15033

[原创]在win7 x64下做个简单的内核绘制

万剑归宗

2018-11-8 10:09

15033

1.0

本贴只针对win7 x64系统下的 32位D3D9程序，局限性太大，仅作为抛砖引玉。

下面进入正题。

基本流程如下:

1:在内核中 hook相关shadowSSDT或SSDT函数

2:在目标进程申请内存，写入用于D3D9绘制的shellcode

3:利用APC的力量回到用户模式，执行用于D3D9绘制的 shellcode。

1.1

首先，如果我们要做一个hook D3D9的绘制。

自然是要编写dll,

注入到目标进程,

hook D3D9虚函数,

获取到D3D9设备,

执行绘制代码。

时至今日，这种技术已经是基本操作了。

经历各大游戏厂商(代理商)以及外挂作者们之间的斗争，

这种注入以及hook的方式已然不可取。

那么是否有一种相对隐蔽的方式来完成这项工作呢?

答案是有的。（废话，没有你写这贴干嘛【滑稽】）

从我们能想到的根本问题入手的话......

在应用层 hook D3D9虚函数以及直接注入dll会拉闸，

既然如此，我们在内核层做hook，代码全都以shellcode的形式

在目标进程里跑起来。

1.2

在win7 x64下, 通过调试一个网上下载的D3D9示例Demo

仔细跟踪其 D3D9的Present函数，我们发现 Present 最终会调用

USER32.HungWindowFromGhostWindow+20处的代码

反汇编如下:

call fs:[000000C0]其实是call Wow64子系统的调用

经过Wow64子系统的包装，最终进入内核。

mov eax, 000012CF这句汇编代码

其中 000012CF代表的是 shadowSSDT 的索引值

了解过 SSDT&shadowsSSDT的朋友都知道

第一个4k页面指向的是SSDT函数

第二个4k页面指向的是shadowSSDT函数

另外两个页面未使用(这是题外话。)

00000012CF在第二个页面上，所以这个索引指向shadowSSDT函数。

我们减去 0x1000 就是它的真实索引值 0x02CF，十进制就是 719。

我们打开PChunter这款非常有用的软件, 我们可以看到索引719指向的

shadowSSDT函数名 NtUserHwndQueryRedirectionInfo

接下来我们就hook这个函数并写好过滤

一般来说，这种shadowSSDT函数，只传进来一个参数(rcx), 保险起见我们写四个。

示例过滤函数如下：（自备shadowSSDT hook引擎，本贴不会放完整代码，防止伸手）

But, 光是这样是不够的, 我们还要在这里获取到D3D9的设备。

这就给我们出了一个难题，一般在应用层都是hook取设备的。

经过查资料，我们想到了一个好办法，利用栈回溯，找到最初调用

Present函数的地方, 并把第一个参数(也就是设备)取出来。

好在windows x86下的栈回溯是基于EBP来回溯的，原理相对简单，

我们可以手动编写一下。

1.3

应用层在通过syscall进入内核之前，会把当前的TrapFrame保存

起来。在内核中当前_KTHREAD成员 TrapFrame 就是应用层保存的

TrapFrame 指针。

在win7 x64下，其结构偏移为 0x1D8。

至此，我们可以顺利的获取应用层最后保存的RBP了。

接下来写栈回溯，具体原理我就不多做描述，大家可以移步这两个帖子看一下

https://blog.csdn.net/chenlycly/article/details/78144769

https://blog.csdn.net/wu330/article/details/29213201

示例代码如下:

笔者这里偷了个懒，直接判断call 地址是否小于 0x00500000

以此确定当前帧就是call present的。

当然，获取到设备的同时，得以确认，当前线程就是从

Present函数一直call 进内核的。下面就可以放心的执行绘制操作了。

2.0

在内核中给当前进程申请内存，最方便的莫过于ZwAllocateVirtualMemory

申请内存成功之后，写入shell code。

比如直接call D3D9的 Clear函数，画个方块。

示例如下:

要注意的是，不要一直不停的申请内存，我想各位看官应该不会这么做[滑稽]。

3.0

做完如上工作，接下来就可以想办法回到用户模式，执行shellcode了。

回到用户模式的方法有好几种，比如KeUserModeCallBack, APC。

其中 KeUserModeCallBack 需要在应用层中写好代理分发，并且如果目标进程是

wow64进程，还需要多写一层代理函数，着实麻烦。

所以我们采用相对简单的 APC，利用APC机制回到用户模式。

代码如下:

注意这里的细节，如果目标进程是 wow64进程，起始地址需要 / -4。

然后就是常规的初始化APC，插入队列。

由于我们是回到当前进程的应用层，所以初始化APC时,

KeInitializeApc第二个参数填 PsGetCurrentThread()。

最后利用KeTestAlertThread直接触发队列里的APC Routine。

3.1

最后放上效果图如下:

结尾:

经过笔者测试，有些系统并不走 NtUserHwndQueryRedirectionInfo

而是另外的ShadowSSDT函数，不过我们依然有办法解决这种小问题。

有时间开下一帖讲一下

[培训]二进制漏洞攻防（第3期）；满10人开班；模糊测试与工具使用二次开发；网络协议漏洞挖掘；Linux内核漏洞挖掘与利用；AOSP漏洞挖掘与利用；代码审计。

#系统底层 #调试逆向

收藏・54

点赞・3

打赏

最新回复 (20)
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2018-11-8 10:17 2 楼 1 内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2018-11-8 10:23 3 楼 0 还行，有时间玩玩看
niuzuoquan 雪币： 310 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 527 粉丝 2 关注私信	niuzuoquan 2018-11-8 10:33 4 楼 0 mark
御剑残风雪币： 837 活跃值： (656) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	御剑残风 2018-11-8 10:44 5 楼 0 mark 内核绘制牛逼
pysafe 雪币： 299 活跃值： (4084) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 11 关注私信	pysafe 2018-11-8 11:19 6 楼 1 感觉更容易被查了
yewenwenye 雪币： 2899 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	yewenwenye 2018-11-8 11:32 7 楼 1 被安排得明明白白
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 27 回帖 377 粉丝 27 关注私信	malokch 2 2018-11-8 12:04 8 楼 1 牛逼了，八仙过海各显神通。其实还有很多强势的不着痕迹的shellcode注入方案，大家都不舍得公开罢了。
二娃雪币： 6314 活跃值： (824) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 2018-11-8 13:10 9 楼 0 围观一下最后于 2018-11-8 13:10 被二娃编辑，原因：
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2018-11-8 14:21 10 楼 0 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-11-8 16:00 11 楼 0 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7 x64下，显存是在GUI进程之间全局共享的。最后于 2018-11-8 16:00 被万剑归宗编辑，原因：
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2018-11-8 16:07 12 楼 0 万剑归宗 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7&nb ... D3D该怎么优化显存占用呢？
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-11-8 16:39 13 楼 0 yy虫子yy D3D该怎么优化显存占用呢？ hook present函数不做处理，直接返回0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2018-11-8 17:33 14 楼 0 万剑归宗 hook present函数不做处理，直接返回0 就是这样做的，不调用Present啊
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-11-8 17:35 15 楼 0 yy虫子yy 就是这样做的，不调用Present啊别的没什么可优化的了
maomaolk 雪币： 688 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	maomaolk 2018-12-5 10:39 16 楼 0 Mark
黑洛雪币： 6124 活跃值： (4106) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2018-12-18 14:42 17 楼 0 老铁，你这个还是要回r3啊，还是会被安排了。不如考虑一下直接注入怎么样，puxg不是只拦截注入但是不检测注入吗？直接hookD3D函数好像也不会出事，你这里从内核走一下反而容易直接被爆掉。不过思路是不错的，可以用到别的情景不同的游戏上。
mb_dbdhdiov 雪币： 280 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_dbdhdiov 2020-7-17 20:45 18 楼 0 怎么加不上你好友啊。18279000092这是我微信，恳请你加下我，大哥加下我，拜托了
kai741101314 雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kai741101314 2021-3-2 21:58 19 楼 0 楼主看到加一下本人Q 956965830 有更好的方式！
小小弟中弟雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小小弟中弟 2021-11-8 10:50 20 楼 0 hzqst 内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包为什么说留下r3的尾巴被安排，能详细说下吗大佬
dearfuture 雪币： 2418 活跃值： (2282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-11-8 13:54 21 楼 0 小小弟中弟为什么说留下r3的尾巴被安排，能详细说下吗大佬[em_88] 线程栈回溯一下就发现不对劲了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

万剑归宗

发帖

545

回帖

RANK

关注

私信

他的文章

[原创]在win7 x64下做个复杂的内核绘制(有码续集)

[原创]在win7 x64下做个简单的内核绘制

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
hzqst 雪币： 12839 活跃值： (8998) 能力值： ( LV9，RANK：280 ) 在线值：发帖 47 回帖 1803 粉丝 540 关注私信	hzqst 3 2018-11-8 10:17 2 楼 1 内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包
はつゆき雪币： 1641 活跃值： (3601) 能力值： (RANK：15 ) 在线值：发帖 15 回帖 401 粉丝 39 关注私信	はつゆき 2018-11-8 10:23 3 楼 0 还行，有时间玩玩看
niuzuoquan 雪币： 310 活跃值： (1917) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 527 粉丝 2 关注私信	niuzuoquan 2018-11-8 10:33 4 楼 0 mark
御剑残风雪币： 837 活跃值： (656) 能力值： ( LV3，RANK：20 ) 在线值：发帖 1 回帖 39 粉丝 0 关注私信	御剑残风 2018-11-8 10:44 5 楼 0 mark 内核绘制牛逼
pysafe 雪币： 299 活跃值： (4084) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 110 粉丝 11 关注私信	pysafe 2018-11-8 11:19 6 楼 1 感觉更容易被查了
yewenwenye 雪币： 2899 活跃值： (438) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 19 粉丝 0 关注私信	yewenwenye 2018-11-8 11:32 7 楼 1 被安排得明明白白
malokch 雪币： 43 活跃值： (388) 能力值： ( LV9，RANK：140 ) 在线值：发帖 27 回帖 377 粉丝 27 关注私信	malokch 2 2018-11-8 12:04 8 楼 1 牛逼了，八仙过海各显神通。其实还有很多强势的不着痕迹的shellcode注入方案，大家都不舍得公开罢了。
二娃雪币： 6314 活跃值： (824) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 56 粉丝 3 关注私信	二娃 2018-11-8 13:10 9 楼 0 围观一下最后于 2018-11-8 13:10 被二娃编辑，原因：
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2018-11-8 14:21 10 楼 0 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-11-8 16:00 11 楼 0 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7 x64下，显存是在GUI进程之间全局共享的。最后于 2018-11-8 16:00 被万剑归宗编辑，原因：
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2018-11-8 16:07 12 楼 0 万剑归宗 yy虫子yy 显存为什么不会自动释放？调用Present才会占用显存是吗？那如果不调用Present的话，就不占用显存了吧？ win7&nb ... D3D该怎么优化显存占用呢？
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-11-8 16:39 13 楼 0 yy虫子yy D3D该怎么优化显存占用呢？ hook present函数不做处理，直接返回0
luskyc 雪币： 248 活跃值： (3789) 能力值： ( LV2，RANK：10 ) 在线值：发帖 25 回帖 955 粉丝 10 关注私信	luskyc 2018-11-8 17:33 14 楼 0 万剑归宗 hook present函数不做处理，直接返回0 就是这样做的，不调用Present啊
万剑归宗雪币： 914 活跃值： (2188) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 545 粉丝 33 关注私信	万剑归宗 1 2018-11-8 17:35 15 楼 0 yy虫子yy 就是这样做的，不调用Present啊别的没什么可优化的了
maomaolk 雪币： 688 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 70 粉丝 0 关注私信	maomaolk 2018-12-5 10:39 16 楼 0 Mark
黑洛雪币： 6124 活跃值： (4106) 能力值： ( LV6，RANK：80 ) 在线值：发帖 8 回帖 582 粉丝 68 关注私信	黑洛 1 2018-12-18 14:42 17 楼 0 老铁，你这个还是要回r3啊，还是会被安排了。不如考虑一下直接注入怎么样，puxg不是只拦截注入但是不检测注入吗？直接hookD3D函数好像也不会出事，你这里从内核走一下反而容易直接被爆掉。不过思路是不错的，可以用到别的情景不同的游戏上。
mb_dbdhdiov 雪币： 280 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	mb_dbdhdiov 2020-7-17 20:45 18 楼 0 怎么加不上你好友啊。18279000092这是我微信，恳请你加下我，大哥加下我，拜托了
kai741101314 雪币： 210 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	kai741101314 2021-3-2 21:58 19 楼 0 楼主看到加一下本人Q 956965830 有更好的方式！
小小弟中弟雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	小小弟中弟 2021-11-8 10:50 20 楼 0 hzqst 内核hook->插APC->回到R3干活->留下R3的尾巴->被安排->999大礼包为什么说留下r3的尾巴被安排，能详细说下吗大佬
dearfuture 雪币： 2418 活跃值： (2282) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 58 粉丝 1 关注私信	dearfuture 2021-11-8 13:54 21 楼 0 小小弟中弟为什么说留下r3的尾巴被安排，能详细说下吗大佬[em_88] 线程栈回溯一下就发现不对劲了
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复